La fonction BPDU Guard est utilisée pour protéger la topologie du protocole Spanning Tree (STP) de couche 2 contre les attaques liées aux BPDU. La fonction BPDU Guard doit être activée sur un port qui ne doit jamais recevoir de BPDU de son périphérique connecté. Si un port de commutateur qui est configuré avec la fonction PortFast du protocole Spanning Tree (STP), il doit être connecté à un dispositif final (par exemple : station de travail, serveur, imprimante, etc). La fonction PortFast est activée uniquement sur les ports d’accès pour accélérer la transition du port d’accès vers l’état de transfert STP. Les périphériques finaux ne sont pas censés générer des BPDU, car dans un environnement réseau normal, les messages BPDU sont échangés par les commutateurs réseau.
La fonction BPDU Guard peut être activée globalement en mode de configuration globale ou par interface en mode de configuration d’interface. Lorsqu’un port activé BPDU Guard reçoit des BPDU du périphérique connecté, BPDU Guard désactive le port et l’état du port passe à l’état Errdisable.
Comment configurer BPDU Guard globalement au mode de configuration globale
Les commandes de configuration ci-dessous activent BPDU Guard par défaut sur tous les ports de bordure PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Les commandes de configuration ci-dessous désactivent BPDU Guard sur tous les ports de bordure PortFast.
OmniSecuSW1#configure terminalOmniSecuSW1(config)#no spanning-tree portfast edge bpduguard defaultOmniSecuSW1(config)#exitOmniSecuSW1#
Comment configurer BPDU Guard par interface en mode de configuration d’interface
Les commandes de configuration ci-dessous activent BPDU Guard pour une interface.